防火墙基础Word下载.docx

1、 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall（config）# 监视模式。 PIX防火墙在开机或重启过程中，按住Escape键或发送一个Break字符，进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor配置PIX防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.这些命令在配置PIX时是必须的。以下是配置的基本步骤：1. 配置防火墙接口的名字，并指定安全级别（nameif）。Pix525（config）#nameif ethernet0 outs

2、ide security0 Pix525（config）#nameif ethernet1 inside security100Pix525（config）#nameif dmz security50 提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为199，数字越大安全级别越高。若添加新的接口，语句可以这样写：Pix525（config）#nameif pix/intf3 security40 （安全级别任取） 2. 配置以太口参数（interface）Pix525（config）#in

3、terface ethernet0 auto （auto选项表明系统自适应网卡类型 ）Pix525（config）#interface ethernet1 100full （100full选项表示100Mbit/s以太网全双工通信 ） Pix525（config）#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ） 3. 配置内外网卡的IP地址（ip address）Pix525（config）#ip address outside 61.144.51.42 255.255.255.248 Pix

4、525（config）#ip address inside 192.168.0.1 255.255.255.0 很明显，Pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1 例1. Pix525（config）#conduit permit tcp host 192.168.0.8 eq www any 这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。例2. Pix525（config）#conduit den

5、y tcp any eq ftp host 61.144.51.89 表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。例3. Pix525（config）#conduit permit icmp any any 表示允许icmp消息向内部和外部通过。例4. Pix525（config）#static （inside, outside） 61.144.51.62 192.168.0.3 Pix525（config）#conduit permit tcp host 61.144.51.62 eq www any 这个例子说明static和conduit的关系。192.168

6、.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.361.144.51.62（全局），然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。C. 配置fixup协议 fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：例1 Pix525（config）#fixup protocol ftp 21 启用ftp协议，并指定ftp的端口号为21 例2 Pix525（config）#fixup

7、protocol http 80 Pix525（config）#fixup protocol http 1080 为http协议指定80和1080两个端口。例3 Pix525（config）#no fixup protocol smtp 80 禁用smtp协议。D. 设置telnet telnet有一个版本的变化。在pix OS 5.0（pix*作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是

8、说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco路由器的telnet就做得不怎么样了。telnet配置语法：telnet local_ip netmask local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。说了这么多，下面给出一个配置实例供大家参考。Welcome to the PIX firewall

9、Type help or ? for a list of available commands. PIX525 en Password:PIX525#sh config :Saved :PIX Version 6.0（1） - PIX当前的*作系统版本为6.0 Nameif ethernet0 outside security0 Nameif ethernet1 inside security100 - 显示目前pix只有2个接口 Enable password 7Y051HhCcoiRTSQZ encrypted Passed 7Y051HhCcoiRTSQZ encrypted - pix

10、防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco Hostname PIX525 - 主机名称为PIX525 Domain-name - 本地的一个域名服务器，通常用作为外部访问 Fixup protocol ftp 21 Fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 - 当前启用的一些服务或协议，注意rsh

11、服务是不能改变端口号的names - 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空 pager lines 24 - 每24行一分页 interface ethernet0 auto interface ethernet1 auto - 设置两个网卡的类型为自适应 mtu outside 1500 mtu inside 1500 - 以太网标准的MTU长度为1500字节 ip address outside 61.144.51.42 255.255.255.248 ip address inside 192.168.0.1 255.255.255.0 -

12、 pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1 ip audit info action alarm ip audit attack action alarm - pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。pdm history enable - PIX设备管理器可以图形化的监视PIX arp timeout 14400 - arp表的超时时间 global （outside） 1 61.144.5

13、1.46 - 如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个 nat （inside） 1 0.0.0.0 0.0.0.0 0 0 static （inside, outside） 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp host 61.144.51.43 eq www any conduit permit udp host 61.144.51.43 eq domain any - 用61.144.51.43这个ip地址提供

14、domain-name服务，而且只允许外部用户访问domain的udp端口 route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 - 外部网关61.144.51.61 timeout xlate 3:00:00 - 某个内部设备向外部发出的ip包经过翻译（global）后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址 timeout conn 1:00 half-closed 0:10:00 udp 0:02:00 rpc 0:00 h323 0:05:00 sip 0:30:00 sip_media 0:0

15、0 timeout uauth 0:00 absolute - AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证 aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius - AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全 no snmp-server location no snmp-server contact snmp-server community public - 由于没有设置snmp工作站，也就没有

16、snmp工作站的位置和联系人 no snmp-server enable traps - 发送snmp陷阱 floodguard enable - 防止有人伪造大量认证请求，将pix的AAA资源用完 no sysopt route dnat telnet timeout 5 ssh timeout 5 - 使用ssh访问pix的超时时间 terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7 PIX525# PIX525#write memory - 将配置保存 上面这个配置实例需要说明一下，pix防火墙直接摆在了与i

17、nternet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside | inside ip_address确定连通性。PIX上实现VPN步骤在PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务：一、为IPSec做准备为IPSec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机

18、和网络，选择一种认证方法，确定有关IPSec对等体的详细信息，确定我们所需的IPSec特性，并确认现有的访问控制列表允许IPSec数据流通过；步骤1：根据对等体的数量和位置在IPSec对等体间确定一个IKE（IKE阶段1，或者主模式）策略；步骤2：确定IPSec（IKE阶段2，或快捷模式）策略，包括IPSec对等体的细节信息，例如IP地址及IPSec变换集和模式；步骤3：用write terminal、show isakmpshow isakmp policyshow crypto map 命令及其他show命令来检查当前的配置；步骤4：确认在没有使用加密前网络能够正常工作，用ping命令并在

19、加密前运行测试数据流来排除基本的路由故障；步骤5：确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过，或者想要的数据流将可以被过滤出来。二、配置IKE 配置IKE涉及到启用IKE（和isakmp是同义词），创建IKE策略，和验证我们的配置；isakmp enable命令来启用或关闭IKE；isakmp policy命令创建IKE策略；isakmp key命令和相关命令来配置预共享密钥；show isakmp policy命令来验证IKE的配置。三、配置IPSecIPSec配置包括创建加密用访问控制列表，定义变换集，创建加密图条目，并将加密集应用到接口上去；用access

20、-list命令来配置加密用访问控制列表； 例如： access-list acl-name permit|deny protocol src_addr src_mask operator port portdest_addr dest_mask operator prot port用crypto ipsec transform-set 命令配置变换集； crypto ipsec transform-set transform-set-name transform1 transform2 transform3 3. 步骤3：（任选）用crypto ipsec security-associati

21、on lifetime命令来配置全局性的IPSec 安全关联的生存期；用crypto map 命令来配置加密图；用interface 命令和crypto map map-name interface应用到接口上； 6. 步骤6：用各种可用的show命令来验证IPSec的配置。四、测试和验证IPSec 该任务涉及到使用show 、debug和相关的命令来测试和验证IPSec加密工作是否正常，并为之排除故障。样例：PIX 1的配置：!configure the IP address for each PIX Firewall interface ip address outside 192.168

22、.1.1 255.255.255.0 ip address inside 10.1.1.3 255.255.255.0 ip address dmz 192.168.11.1 255.255.255.0 global （outside） 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0 creates a global pooll on the outside interface,enables NAT. windows NT server static （inside,outside） 192.168.1.10 10.1.1.4 netma

23、sk 255.255.255.0 Crypto access list specifiles between the global and the inside server beind PIX Firewalls is encrypted ,The source and destination IP address are the global IP addresses of the statics. Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10 The conduit permit ICMP and web ac

24、cess for testing. Conduit permit icmp any any Conduit permit tcp host 192.168.1.10 eq www any route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 Enable IPSec to bypass access litst,access ,and confuit restrictionssyspot connnection permit ipsec Defines a crypto map transform set to user esp-des crypto ipse

25、c transform-set pix2 esp-des crypto map peer2 10 ipsec-isakmp!完全配置： ip address outside 202.105.113.194 255.255.255.0 /*看电信给你的IP ip address inside 192.168.1.1 255.255.255.0global （outside） 1 202.105.113.195-202.105.113.200 global （outside） 1 202.105.113.201 static （inside,outside） 202.105.113.203 192

26、.168.1.10 netmask 255.255.255.255 0 0 static （inside,outside） 202.105.113.205 192.168.1.11netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp host 202.105.113.203 eq www any conduit permit tcp host 202.105.113.203 eq ftp any conduit permit tcp host 202.105.113.205 eq smtp any

27、conduit permit tcp host 202.105.113.205 eq pop3 any route outside 0.0.0.0 0.0.0.0 202.105.113.193 1 route inside 0.0.0.0 0.0.0.0 192.168.1.14. 指定要进行转换的内部地址（nat） 网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat （if_name） na

28、t_id local_ip netmark 其中（if_name）表示内网接口名字，例如inside。Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。netmark表示内网ip地址的子网掩码。例1Pix525（config）#nat （inside） 1 0 0 表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0 例2Pix525（config）#nat （inside） 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0这个网段内的主机可以访问外网。5. 指定外部地址范围（global） global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法：global （if_name） nat_id ip_address-ip_address netmark global_mask 其中（if_name）表示外网接口名字，例如outside.。Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。netmark global_mask表示全局ip地址的网络掩码。例1Pi